Warum dein SSH uber Quantencomputer schreit (und wie man es behebt)
Du verbindest dich per SSH mit deinem Server und siehst das:
** WARNING: connection is not using a post-quantum key exchange algorithm.
** This session may be vulnerable to "store now, decrypt later" attacks.Beangstigend. Lass es uns aufschlusseln.
Die Bedrohung: Store Now, Decrypt Later
Die heutige SSH-Verschlusselung ist mathematisch stark; sie zu brechen wurde einen klassischen Computer Millionen von Jahren kosten.
Aber Quantencomputer spielen nach anderen Regeln. Ein ausreichend leistungsfahiger Quantencomputer, der Shors Algorithmus ausfuhrt, kann die Mathematik, die den Grossteil der heutigen Public-Key-Kryptografie schutzt, in Stunden brechen, nicht in Millionen von Jahren.
Hier ist der beunruhigende Teil: Quantencomputer, die leistungsfahig genug dafur sind, existieren noch nicht. Warum also jetzt schon sorgen?
Weil Angreifer, insbesondere Nationalstaaten, bereits heute verschlusselten Traffic aufzeichnen, mit dem Plan, ihn spater zu entschlusseln, wenn die Quantenhardware ausgereift ist. Das ist der "Store Now, Decrypt Later" (SNDL)-Angriff.
Was ist Key Exchange eigentlich?
Bevor SSH deine Sitzung verschlusseln kann, mussen sich beide Seiten auf ein gemeinsames Geheimnis einigen, einen temporaren Schlussel, der zur Verschlusselung von allem anderen verwendet wird. Diese Aushandlung heisst Key Exchange (Kex).
Das Problem: Die Mathematik hinter dem klassischen Key Exchange (Diffie-Hellman, elliptische Kurven) ist angreifbar fur Quantencomputer.
Klassischer vs. Post-Quantum Key Exchange
Klassisch (angreifbar fur Quantencomputer)
| Algorithmus | Anmerkungen |
|---|---|
diffie-hellman-group1-sha1 | Vermeiden. Schwach, veraltet. |
diffie-hellman-group14-sha1 | Vermeiden. SHA-1 ist gebrochen. |
diffie-hellman-group14-sha256 | Heute akzeptabel, nicht zukunftssicher. |
curve25519-sha256 | Beste klassische Option. Modern, vertrauenswurdig, schnell. |
Alle oben genannten werden von einem Quantencomputer, der Shors Algorithmus ausfuhrt, gebrochen.
Post-Quantum (sicher gegen Quantencomputer)
| Algorithmus | OpenSSH Version | Anmerkungen |
|---|---|---|
sntrup761x25519-sha512@openssh.com | 8.5+ | Jetzt verfugbar. Hybrid: NTRU Prime + X25519. |
mlkem768x25519-sha256 | 9.9+ | Goldstandard. Hybrid: ML-KEM-768 + X25519. NIST FIPS 203 standardisiert. |
Beide sind Hybridalgorithmen -- sie legen einen Post-Quantum-Algorithmus uber einen klassischen. Das bedeutet: Wenn der PQ-Algorithmus eine Schwachstelle hat -> X25519 schutzt dich immer noch (klassische Sicherheit). Wenn ein Quantencomputer angreift -> die PQ-Schicht schutzt dich immer noch. Du bekommst das Beste aus beiden Welten.
Die Losung
Schritt 1: Bearbeite /etc/ssh/sshd_config
Fuge den PQ-Algorithmus an den Anfang der Liste. OpenSSH verhandelt in Reihenfolge; der erste Treffer gewinnt.
Wenn du OpenSSH 9.9+ hast:
KexAlgorithms mlkem768x25519-sha256,sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Wenn du OpenSSH 8.5-9.8 hast (wie Ubuntus 24.04 mit 9.6p1):
KexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Schritt 2: Validieren und Neustarten
Validiere immer vor dem Neustart: sudo sshd -t
Wenn keine Fehler: sudo systemctl restart sshd
Schritt 3: Uberprufe, ob es funktioniert hat
Von einem Client-Rechner aus mit ausfuhrlicher Ausgabe verbinden und nach dem ausgehandelten Kex suchen: ssh -v user@yourserver 2>&1 | grep "kex_"
TL;DR
| Frage | Antwort |
|---|---|
| Werde ich gerade gehackt? | Nein. Es geht um zukunftige Quantencomputer. |
| Muss ich sofort handeln? | Sensible, langlebige Daten: ja. Personliche Server: bald. |
| Welchen Algorithmus soll ich verwenden? | mlkem768x25519-sha256 (OpenSSH 9.9+) oder sntrup761x25519-sha512@openssh.com (8.5+) |
| Wird es alte Clients kaputt machen? | Nein, behalte klassische Algorithmen als Fallbacks. |
Die Quanten-Ara ist noch nicht da, aber das Zeitfenster zur Vorbereitung ist jetzt. Die Aktualisierung von KexAlgorithms dauert zwei Minuten und ist einer der einfachsten Erfolge in der modernen Server-Hartung.
Ubuntu 24.04 liefert OpenSSH 9.6p1 aus, das sntrup761x25519-sha512@openssh.com out of the box unterstutzt. OpenSSH 9.9+ (verfugbar via PPA oder neuere Distributionen) fugt das NIST-standardisierte mlkem768x25519-sha256 hinzu.
Weiteres von Ercan
Zwei weitere Seiten, gleicher Autor, anderes Terrain.
KI, LLMs, Agents, angewandte ML.
Praxisnotizen zu KI-Workloads. Bedrock-Kostenanalyse, Agent-Patterns, Vektorspeicher-Tradeoffs, Failure-Modes in Produktion.
Besuchen ercan.ai →Die Drehscheibe. Über mich, Beratung, Kontakt.
Persönliche Drehscheibe für beide Schreibspuren. Wer ich bin, wie die Beratung funktioniert, wie Sie mich erreichen.
Besuchen ercanermis.com →